da Redazione | Ott 18, 2024 | Notizie e Aggiornamenti Legislativi, Diritto d'Impresa, Diritto Penale
La Direttiva NIS 2 (Direttiva (UE) 2022/2555) è il corpus normativo principale nell’ambito della sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. L’obiettivo primario di questa normativa è, come noto, quello di migliorare la resilienza delle infrastrutture digitali europee, introducendo obblighi più stringenti per gli operatori di servizi essenziali e importanti.
Rispetto alla precedente Direttiva NIS, la NIS 2 estende il campo di applicazione e rafforza le misure di gestione del rischio di cybersicurezza, armonizzando ulteriormente le normative tra gli Stati membri.
In questo contesto, il Regolamento di attuazione recentemente approvato dalla Commissione Europea si inserisce come elemento cruciale per la concretizzazione delle disposizioni previste dalla Direttiva NIS 2. Esso è stato adottato sulla base dell’articolo 21, paragrafo 5, della Direttiva NIS 2, che stabilisce che entro il 17 ottobre 2024, la Commissione debba adottare atti di esecuzione per definire i requisiti tecnici e metodologici delle misure di gestione del rischio. Questi requisiti riguardano una serie di fornitori di servizi critici, tra cui i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello (TLD), i fornitori di cloud computing, i data center, le reti di distribuzione dei contenuti (CDN), e altri operatori di servizi essenziali.
In parallelo, l’articolo 23, paragrafo 11, della Direttiva NIS 2 stabilisce che, entro la stessa scadenza, la Commissione adotti atti di esecuzione per specificare i casi in cui un incidente debba essere considerato significativo. Ciò si applica ai fornitori sopra elencati e ad altri soggetti essenziali e importanti, con l’obiettivo di garantire una risposta adeguata e tempestiva agli incidenti informatici che possano mettere a rischio la sicurezza delle reti e dei sistemi informativi.
L’obiettivo di questo articolo è offrire una panoramica dettagliata del Regolamento di attuazione della Direttiva NIS 2, che introduce una disciplina vincolante per una serie di operatori che svolgono un ruolo cruciale nella sicurezza digitale europea.
Il Regolamento, che entrerà in vigore dopo la sua pubblicazione ufficiale, si applica esclusivamente alle relevant entities o entità rilevanti, definite come quei soggetti che forniscono servizi critici per la società e l’economia. Tra queste entità si annoverano fornitori di servizi DNS, di cloud computing, di reti di distribuzione dei contenuti, motori di ricerca online, piattaforme di social networking e altre infrastrutture digitali di importanza strategica.
Nel prosieguo dell’articolo, esploreremo più nel dettaglio le misure di gestione del rischio previste dal Regolamento e le modalità per determinare quando un incidente debba essere considerato significativo ai sensi della Direttiva NIS 2. Per approfondimenti circa la normativa nazionale di recepimento della Direttiva NIS 2 e il calendario delle scadenze, rinviamo ai nostri precedenti articoli.
Requisiti di gestione del rischio nella Direttiva NIS 2
La Direttiva NIS 2 e il Regolamento di attuazione adottato dalla Commissione Europea pongono al centro dell’attenzione la necessità per le “entità rilevanti” di adottare misure specifiche di gestione del rischio per la sicurezza delle reti e dei sistemi informativi. La disciplina dettagliata di tali misure è contenuta nell’Annex I del Regolamento, che rappresenta un pilastro normativo fondamentale per garantire la sicurezza cibernetica all’interno dell’Unione Europea.
L’Annex I si struttura in diverse sezioni, ciascuna delle quali delinea un insieme di requisiti tecnici e metodologici che le entità rilevanti devono implementare. Tali misure sono organizzate in modo da coprire tutti gli aspetti cruciali della gestione del rischio di cybersecurity, con l’obiettivo di fornire un approccio omnicomprensivo alla sicurezza informatica. Tra le principali aree trattate figurano la protezione delle reti, dei sistemi informativi e dei dati, nonché la preparazione a rispondere a eventuali incidenti di sicurezza.
Le misure descritte nell’Annex I impongono alle entità rilevanti l’adozione di politiche di sicurezza informatica che coprano l’intero ciclo di vita dei sistemi e dei servizi. Queste politiche devono essere sviluppate sulla base di una valutazione continua del rischio, che prevede l’identificazione delle minacce potenziali, la stima della probabilità che si verifichino incidenti e l’adozione di misure di mitigazione adeguate. L’Annex I stabilisce, inoltre, che queste politiche devono essere sottoposte a revisione periodica per adattarsi alle nuove sfide poste dall’evoluzione tecnologica e dalle crescenti minacce cibernetiche.
Inoltre, una sezione fondamentale dell’Annex I riguarda la gestione degli incidenti di sicurezza informatica. Le entità rilevanti sono tenute a implementare misure che consentano il rilevamento, la gestione e la risoluzione tempestiva degli incidenti. Questo include l’obbligo di monitorare continuamente le attività delle reti e dei sistemi informativi, in modo da rilevare eventuali anomalie che possano indicare un’intrusione o un attacco.
L’Annex I si occupa anche della continuità operativa, stabilendo che le entità rilevanti devono predisporre piani di continuità e ripristino delle attività, volti a garantire la ripresa delle operazioni nel minor tempo possibile in caso di interruzioni. Questi piani devono essere regolarmente testati e aggiornati, per assicurare che restino efficaci nel tempo e in linea con le esigenze operative dell’entità.
Un altro elemento di grande rilevanza trattato dall’Annex I riguarda la sicurezza della catena di fornitura (tema che, in generale, abbiamo già approfondito in un precedente articolo). Le entità rilevanti non solo devono assicurarsi che i loro sistemi e reti siano protetti, ma devono anche vigilare affinché i fornitori terzi che partecipano alla loro catena produttiva o distributiva rispettino standard di sicurezza analoghi. Questo principio garantisce un approccio integrato alla gestione del rischio, prevenendo potenziali vulnerabilità derivanti da attori esterni.
L’Annex I, dunque, costituisce la base normativa essenziale che le entità rilevanti devono seguire per conformarsi ai requisiti di gestione del rischio imposti dalla Direttiva NIS 2, garantendo così una maggiore resilienza delle infrastrutture digitali europee.
Incidenti significativi nel Regolamento di attuazione della Direttiva NIS 2
La Direttiva NIS 2, unitamente al Regolamento di attuazione, introduce una disciplina specifica per la gestione degli incidenti significativi. Ai sensi dell’articolo 3 del Regolamento, un incidente è considerato significativo se soddisfa uno o più criteri previsti dalla Direttiva stessa e dal Regolamento, con l’obiettivo di garantire che tali eventi ricevano una risposta tempestiva e adeguata. La rilevanza di un incidente non si limita al suo impatto immediato sui sistemi informativi dell’entità, ma viene valutata anche in funzione delle conseguenze economiche, operative e sociali che può determinare.
Secondo l’articolo 3, un incidente è considerato significativo se soddisfa uno o più criteri generali. Tra questi, vi è la possibilità che l’incidente comporti una perdita finanziaria diretta per l’entità rilevante superiore a 500.000 euro o al 5% del fatturato annuo complessivo dell’entità nell’anno finanziario precedente, a seconda di quale importo sia inferiore. Altri criteri includono la compromissione della riservatezza, integrità o autenticità dei dati, oppure la possibilità che l’incidente causi la morte o danni significativi alla salute di una persona fisica. Inoltre, il Regolamento introduce criteri specifici per diverse tipologie di entità rilevanti, in modo da adeguare la valutazione dell’incidente alle caratteristiche particolari dei servizi forniti.
Ai sensi dell’articolo 5, se l’incidente riguarda un fornitore di servizi DNS, esso è considerato significativo se uno o più criteri vengono soddisfatti. Tra questi, il servizio di risoluzione dei nomi di dominio autoritativo o ricorsivo deve essere completamente non disponibile per un periodo superiore a 30 minuti. In alternativa, la risposta del servizio di risoluzione dei nomi di dominio potrebbe superare i 10 secondi per oltre un’ora, rendendo il servizio inadeguato a rispondere in modo efficiente alle richieste DNS. Un altro criterio di significatività è la compromissione dell’integrità, riservatezza o autenticità dei dati trattati dal fornitore, soprattutto se tale compromissione coinvolge una quota rilevante di nomi di dominio gestiti.
Per quanto riguarda i registri di nomi di dominio di primo livello (TLD), l’articolo 6 stabilisce che un incidente è considerato significativo se il servizio di risoluzione dei nomi di dominio autoritativo è completamente non disponibile o se il tempo di risposta medio supera i 10 secondi per un periodo superiore a un’ora. Anche in questo caso, la compromissione della sicurezza dei dati legati al TLD può essere determinante nel qualificare l’incidente come significativo, se tale compromissione mina la riservatezza o l’integrità delle informazioni trattate.
Ai sensi dell’articolo 7 del Regolamento attuativo della Direttiva NIS 2, un fornitore di servizi di cloud computing è soggetto a criteri di significatività qualora il servizio di cloud computing sia completamente non disponibile per più di 30 minuti. Inoltre, se la disponibilità del servizio è limitata per oltre il 5% degli utenti del cloud nell’Unione Europea, o per più di un milione di utenti, l’incidente può essere considerato significativo. La compromissione dell’integrità, riservatezza o autenticità dei dati trattati da tali fornitori può inoltre essere un fattore determinante, soprattutto se coinvolge una quota considerevole di utenti del servizio.
Analogamente, l’articolo 8 del Regolamento attuativo della Direttiva NIS 2 disciplina gli incidenti che coinvolgono i fornitori di servizi di data center. Un incidente è considerato significativo se il servizio di data center risulta completamente non disponibile o se la disponibilità del servizio è limitata per un periodo superiore a un’ora. Anche in questo caso, la compromissione della sicurezza dei dati trattati nel data center può qualificare l’incidente come significativo, così come la compromissione dell’accesso fisico al data center stesso, soprattutto se si verifica una violazione dei meccanismi di protezione fisica che limitano l’accesso alle aree sensibili.
Per i fornitori di reti di distribuzione dei contenuti (CDN), l’articolo 9 stabilisce che un incidente è significativo se la rete di distribuzione è completamente non disponibile per più di 30 minuti. Se l’indisponibilità del servizio impatta oltre il 5% degli utenti della rete di distribuzione o coinvolge più di un milione di utenti, l’incidente è considerato significativo. Come per le altre entità, anche la compromissione della riservatezza, integrità o autenticità dei dati trattati dalla rete di distribuzione dei contenuti può rappresentare un criterio rilevante.
L’articolo 11 riguarda i fornitori di marketplace online, dove un incidente è considerato significativo se più del 5% degli utenti o oltre un milione di utenti nell’Unione sono coinvolti dall’indisponibilità totale o parziale del servizio. Anche in questo contesto, la sicurezza dei dati trattati gioca un ruolo fondamentale, in particolare se vi è stata una compromissione della riservatezza, integrità o autenticità delle informazioni.
Infine, gli articoli 12 e 13 del Regolamento attuativo della Direttiva NIS 2 disciplinano rispettivamente i criteri per gli incidenti significativi che coinvolgono i motori di ricerca online e le piattaforme di servizi di social networking, stabilendo criteri simili in termini di indisponibilità dei servizi e compromissione della sicurezza dei dati. Anche in questi casi, l’indisponibilità che colpisce una percentuale significativa di utenti o la violazione dei dati trattati costituisce un elemento chiave nella valutazione della significatività dell’incidente.
In conclusione, il Regolamento di attuazione della Direttiva NIS 2 stabilisce una disciplina precisa e articolata per identificare e gestire gli incidenti significativi, tenendo conto delle peculiarità delle diverse entità rilevanti e del tipo di servizi forniti.
Direttiva NIS 2 e Regolamento di attuazione. Quali adempimenti?
La Direttiva NIS 2 e il Regolamento di attuazione adottato dalla Commissione Europea rappresentano un significativo passo avanti nella gestione della sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. La definizione precisa delle misure di gestione del rischio e la determinazione degli incidenti significativi hanno come obiettivo quello di creare un quadro giuridico uniforme e robusto, capace di rispondere alle sfide sempre più complesse del panorama cibernetico moderno. Con l’entrata in vigore del Regolamento, le “entità rilevanti” dovranno adattarsi a nuovi standard di sicurezza e adottare un approccio proattivo nella gestione dei rischi informatici.
Per le entità rilevanti, la conformità alla Direttiva NIS 2 richiederà un impegno non solo tecnico ma anche organizzativo, attraverso l’implementazione di politiche di sicurezza coerenti e la formazione continua del personale coinvolto. Gli operatori economici, in particolare, dovranno assicurarsi che anche la loro catena di fornitura rispetti gli stessi criteri di sicurezza cibernetica. Il mancato adeguamento può comportare sanzioni rilevanti e, soprattutto, una vulnerabilità critica nei confronti delle minacce informatiche.
In questo contesto di crescente complessità normativa, lo Studio Legale D’Agostino, con la sua consolidata esperienza in ambito di corporate compliance e cybersicurezza, è in grado di fornire un supporto strategico essenziale. La nostra competenza nella gestione delle problematiche legate alla conformità aziendale e alla sicurezza informatica ci permette di assistere le imprese e le pubbliche amministrazioni nel processo di implementazione della Direttiva NIS 2, garantendo un approccio personalizzato e orientato alla prevenzione dei rischi.
Siamo lieti e orgogliosi di accompagnarvi nel percorso di adeguamento normativo, fornendo soluzioni efficaci e su misura per proteggere le vostre infrastrutture digitali e ridurre al minimo l’esposizione ai rischi cibernetici.
SCARICA QUI IL TESTO DEL Regolamento di attuazione della Direttiva NIS 2 del 17.10.2024
Studio Legale D’Agostino a Roma: consulenza su Decreto NIS 2, cyber security e sicurezza informatica, con definizioni chiave su incidenti, vulnerabilità e misure di sicurezza
da Redazione | Ott 16, 2024 | Diritto civile, Diritto d'Impresa, Diritto Penale, Notizie e Aggiornamenti Legislativi
La sostenibilità rappresenta ormai un pilastro fondamentale per le imprese, in particolare alla luce delle nuove normative dell’Unione Europea volte a regolare l’impatto delle attività aziendali sui diritti umani e sull’ambiente. Ne abbiamo già discusso in un precedente articolo.
In questo contesto, la Direttiva (UE) 2024/1760, meglio nota come Corporate Sustainability Due Diligence Directive (CSDDD), impone un dovere di diligenza alle imprese di grandi dimensioni per garantire che le loro attività e quelle dei loro partner commerciali siano in linea con gli obiettivi di sostenibilità ambientale e sociale.
La Direttiva introduce obblighi chiari e vincolanti, che richiedono alle società di identificare, prevenire e mitigare i potenziali impatti negativi lungo l’intera catena di valore. La sostenibilità diventa così non solo un obiettivo etico e strategico, ma anche un imperativo normativo, la cui non osservanza può comportare significative sanzioni e responsabilità civili. L’Unione Europea, con questa direttiva, intende promuovere una trasformazione profonda delle pratiche aziendali, allineandole agli accordi internazionali come l’Accordo di Parigi, con l’obiettivo di ridurre le emissioni di gas a effetto serra e di tutelare i diritti umani nelle operazioni globali delle imprese.
Attraverso un quadro giuridico armonizzato, la CSDDD segna un passo decisivo verso un’economia più sostenibile e responsabile, dove la trasparenza e la conformità rappresentano strumenti chiave per favorire una gestione aziendale attenta agli impatti sociali e ambientali. Tale normativa richiede un adeguamento significativo delle politiche interne delle imprese e l’adozione di piani di transizione verso una sostenibilità integrale.
Chi sono i destinatari della Direttiva sulla sostenibilità?
La Corporate Sustainability Due Diligence Directive trova applicazione su un’ampia gamma di imprese, sia costituite all’interno dell’Unione Europea sia operanti nel mercato europeo pur avendo sede legale in paesi terzi. In particolare, la direttiva è vincolante per tutte le società che, nel corso dell’ultimo esercizio finanziario, hanno avuto più di 1.000 dipendenti e un fatturato netto globale superiore a 450 milioni di euro.
Questo parametro tiene conto non solo delle attività svolte direttamente dalla società, ma anche di quelle delle sue filiazioni e dei suoi partner commerciali lungo l’intera catena di valore. Ciò implica che le imprese devono monitorare non solo le loro operazioni interne, ma anche le pratiche adottate dai soggetti con cui collaborano, estendendo così l’obbligo di sostenibilità in modo capillare.
Le disposizioni della direttiva si applicano anche alle società capogruppo che esercitano un controllo su altre entità e che rientrano nei requisiti di dimensione previsti. È altresì importante sottolineare che l’applicazione si estende alle imprese costituite in paesi terzi, a condizione che esse generino un fatturato netto significativo nell’Unione Europea. In particolare, la soglia stabilita per le imprese extra-europee è di 450 milioni di euro di fatturato nell’ultimo esercizio finanziario. Questo aspetto è cruciale, poiché garantisce che le imprese non possano eludere gli obblighi di sostenibilità semplicemente trasferendo la loro sede legale al di fuori dell’Unione, pur continuando a operare nel mercato europeo.
L’obiettivo principale della direttiva è creare un quadro normativo uniforme, assicurando che tutte le imprese con una presenza economica significativa nel mercato europeo, indipendentemente dalla loro sede legale, siano tenute a rispettare gli stessi standard in materia di sostenibilità e responsabilità sociale. Questo favorisce una concorrenza leale tra le imprese e promuove una cultura aziendale orientata alla tutela dell’ambiente e dei diritti umani.
Quando entrerà in vigore la Direttiva sulla sostenibilità?
L’entrata in vigore della CSDDD è scaglionata in diverse fasi, a seconda della dimensione e della tipologia delle imprese coinvolte. Gli Stati membri sono tenuti a recepire la direttiva entro il 26 luglio 2026, data entro la quale dovranno adottare le misure legislative necessarie. Tuttavia, gli obblighi per le imprese entreranno in vigore in maniera progressiva.
Le società con più di 5.000 dipendenti e un fatturato netto superiore a 1,5 miliardi di euro a livello mondiale saranno soggette alla normativa a partire dal 26 luglio 2027. Per le imprese con più di 3.000 dipendenti e un fatturato superiore a 900 milioni di euro, gli obblighi scatteranno dal 26 luglio 2028. Le società di paesi terzi che generano un fatturato significativo nell’Unione, pari a oltre 1,5 miliardi di euro, dovranno conformarsi anch’esse dal 26 luglio 2027, mentre quelle con un fatturato superiore a 900 milioni di euro avranno tempo fino al 26 luglio 2028.
Infine, tutte le altre imprese non rientranti nelle precedenti categorie, inclusi i gruppi più piccoli che operano con modalità di franchising o licenza, dovranno conformarsi agli obblighi previsti dalla direttiva a partire dal 26 luglio 2029. Questo approccio graduale consente alle imprese di adattarsi progressivamente alle nuove norme, in base alla loro dimensione e alla complessità delle loro operazioni.
Obblighi Principali per le Imprese: la due diligence per la sostenibilità
Il cuore della Corporate Sustainability Due Diligence Directive risiede nell’obbligo imposto alle imprese di esercitare un dovere di diligenza accurato e continuo, volto a prevenire, mitigare e, se necessario, porre rimedio agli impatti negativi delle loro attività sui diritti umani e sull’ambiente. Questo dovere si estende non solo alle attività dirette dell’impresa, ma anche a quelle delle sue filiazioni e dei partner commerciali, lungo l’intera catena di valore. La sostenibilità, quindi, diventa un principio guida per tutte le fasi delle operazioni aziendali.
Le imprese sono chiamate a implementare una serie di misure volte a integrare il dovere di diligenza all’interno delle loro politiche e sistemi di gestione. In particolare, devono adottare politiche di sostenibilità ben definite, che prevedano l’individuazione e la valutazione di potenziali impatti negativi legati ai diritti umani o all’ambiente. L’individuazione degli impatti non può essere limitata alla sola attività dell’impresa, ma deve estendersi a tutte le entità collegate, incluse le filiazioni e i partner lungo la catena di fornitura.
In base agli articoli centrali della direttiva, le imprese devono adottare tutte le misure necessarie per prevenire o, laddove non sia possibile, attenuare tali impatti. Questo può includere l’adozione di piani d’azione correttivi, investimenti finanziari per migliorare i processi produttivi, la richiesta di garanzie contrattuali ai partner commerciali e, nei casi più gravi, la cessazione dei rapporti d’affari con i soggetti che contribuiscono agli impatti negativi.
Inoltre, la direttiva impone alle imprese di stabilire e mantenere un dialogo significativo con le parti interessate, compresi i lavoratori, le comunità locali e le organizzazioni non governative, al fine di garantire che gli impatti negativi siano affrontati in maniera partecipata e trasparente. Parte integrante di questo processo è la creazione di un meccanismo di reclamo che consenta a chiunque subisca danni causati dalle attività dell’impresa di presentare una denuncia.
Le imprese devono, infine, monitorare e comunicare pubblicamente l’efficacia delle loro politiche di sostenibilità. L’obbligo di trasparenza impone la pubblicazione di rapporti regolari che documentino i progressi compiuti nel prevenire e mitigare gli impatti negativi, rafforzando così la fiducia degli stakeholder e contribuendo al raggiungimento degli obiettivi di sostenibilità fissati dalla direttiva.
Lotta ai Cambiamenti Climatici e Piano di Transizione
Uno degli aspetti più innovativi della Corporate Sustainability Due Diligence Directive riguarda l’obbligo per le imprese di adottare un piano di transizione volto alla mitigazione dei cambiamenti climatici. La direttiva stabilisce che le società di grandi dimensioni, oltre a integrare la sostenibilità nelle loro politiche aziendali, devono impegnarsi attivamente nella lotta al cambiamento climatico, in linea con l’Accordo di Parigi e gli obiettivi di neutralità climatica dell’Unione Europea.
Il piano di transizione deve garantire che le strategie aziendali siano compatibili con l’obiettivo di limitare l’aumento della temperatura globale a 1,5 °C e di raggiungere la neutralità climatica entro il 2050, come stabilito dal regolamento (UE) 2021/1119.
Le imprese devono fissare obiettivi chiari e temporalmente definiti per la riduzione delle emissioni di gas a effetto serra, con tappe intermedie da raggiungere entro il 2030. Tali obiettivi non riguardano soltanto le emissioni dirette dell’impresa (ambiti 1 e 2), ma anche le emissioni indirette lungo la catena di fornitura (ambito 3). La direttiva richiede, inoltre, che le imprese identifichino le principali leve di decarbonizzazione, compresa la revisione dei loro portafogli di prodotti e servizi e l’adozione di nuove tecnologie più sostenibili.
Un aspetto cruciale è la trasparenza degli investimenti e dei finanziamenti destinati a sostenere l’attuazione del piano di transizione. Le imprese devono, infatti, fornire una chiara spiegazione e quantificazione delle risorse allocate per garantire il raggiungimento degli obiettivi climatici. Inoltre, il piano di transizione deve prevedere un ruolo attivo degli organi di amministrazione, gestione e controllo, i quali sono chiamati a supervisionare e guidare il processo di decarbonizzazione.
In questo modo, la sostenibilità climatica diventa non solo un obiettivo strategico, ma un obbligo normativo che richiede alle imprese di operare in maniera responsabile, allineandosi agli obiettivi globali per il clima.
Sostenibilità, ruolo delle Autorità e obblighi di reporting
La Corporate Sustainability Due Diligence Directive attribuisce un ruolo centrale alle autorità di controllo, incaricate di vigilare sull’attuazione e sul rispetto degli obblighi imposti alle imprese dalla normativa. Gli Stati membri dell’Unione Europea sono tenuti a designare una o più autorità di controllo nazionali, le quali devono monitorare con attenzione le attività delle imprese che rientrano nell’ambito di applicazione della direttiva, assicurandosi che esse rispettino i principi di sostenibilità e responsabilità sociale.
Le autorità di controllo hanno il compito di valutare l’efficacia delle misure adottate dalle imprese per identificare e mitigare gli impatti negativi su diritti umani e ambiente. Tra i loro poteri rientrano l’ispezione, la richiesta di informazioni e la possibilità di imporre sanzioni in caso di violazioni. Le sanzioni possono includere multe significative, fino al 5% del fatturato netto globale dell’impresa, a seconda della gravità della violazione, nonché la pubblicazione di dichiarazioni che identificano le imprese non conformi.
Un altro aspetto cruciale della direttiva riguarda gli obblighi di reporting. Le imprese sono tenute a redigere rapporti periodici che documentino le azioni intraprese per prevenire, attenuare e riparare gli impatti negativi identificati. Tali rapporti devono essere resi pubblici e accessibili, garantendo così la trasparenza nei confronti degli stakeholder e delle autorità di controllo. Il rispetto degli obblighi di reporting è essenziale per assicurare che le imprese operino in modo conforme e responsabile, mantenendo un dialogo costante con le parti interessate e dimostrando il loro impegno verso la sostenibilità.
Il sistema di controllo e monitoraggio previsto dalla direttiva mira quindi a rafforzare la fiducia nel mercato europeo, creando un quadro regolatorio trasparente che incentivi le imprese a migliorare continuamente le proprie performance in materia di sostenibilità e responsabilità sociale.
Obblighi di sostenibilità: sanzioni e responsabilità civile per le imprese
La Corporate Sustainability Due Diligence Directive introduce un quadro di sanzioni rigorose per garantire che le imprese rispettino gli obblighi derivanti dalla normativa. Le sanzioni previste dalla direttiva, che devono essere adottate dagli Stati membri, hanno l’obiettivo di essere effettive, proporzionate e dissuasive. Le autorità di controllo nazionali hanno il potere di imporre sanzioni pecuniarie significative, calcolate sulla base del fatturato netto globale dell’impresa. Le multe possono raggiungere fino al 5% del fatturato netto globale dell’esercizio precedente, una cifra che mira a dissuadere in maniera efficace le imprese dal violare gli obblighi di diligenza in materia di sostenibilità.
Le violazioni che possono comportare l’applicazione di sanzioni riguardano principalmente la mancata identificazione, prevenzione e mitigazione degli impatti negativi sui diritti umani e sull’ambiente. Le imprese che non ottemperano alle disposizioni relative alla redazione di rapporti di sostenibilità o che non rispettano i termini dei piani di transizione verso la mitigazione dei cambiamenti climatici sono soggette a sanzioni. Oltre alle multe, le autorità di controllo possono adottare misure aggiuntive, come la pubblicazione di dichiarazioni ufficiali che identificano pubblicamente le imprese responsabili delle violazioni, contribuendo così a danneggiare la reputazione aziendale a livello globale.
Un aspetto centrale della direttiva è l’introduzione della responsabilità civile per le imprese, che permette a persone fisiche o giuridiche di richiedere il risarcimento dei danni subiti a causa di una violazione degli obblighi di diligenza da parte dell’impresa. Le imprese possono essere ritenute responsabili per i danni causati da omissioni o atti intenzionali o negligenti relativi alla mancata adozione di misure preventive o correttive, in particolare se tali violazioni sono correlate a diritti protetti dalla legislazione nazionale o europea.
La responsabilità civile è particolarmente rilevante nel contesto delle catene di valore, dove le imprese possono essere chiamate a rispondere anche per i danni causati dai loro partner commerciali. Tuttavia, la direttiva prevede che le imprese non siano responsabili se dimostrano di aver adottato tutte le misure adeguate per prevenire tali impatti, inclusa la richiesta di garanzie contrattuali ai partner commerciali, la supervisione delle loro attività e l’attuazione di meccanismi di controllo efficaci. In questi casi, la responsabilità può essere condivisa con i partner commerciali, in una logica di corresponsabilità lungo la catena di fornitura.
Un altro punto di rilievo riguarda i termini di prescrizione. La direttiva prevede che i termini per l’avvio di procedimenti per il risarcimento dei danni non siano eccessivamente restrittivi e che, in ogni caso, non siano inferiori a cinque anni. Questo mira a garantire che le vittime di violazioni, siano esse comunità locali, lavoratori o altre parti interessate, abbiano il tempo sufficiente per raccogliere prove e presentare le loro richieste di risarcimento. Inoltre, la direttiva stabilisce che, in caso di controversie, i tribunali nazionali abbiano il potere di ordinare la divulgazione di prove rilevanti da parte delle imprese, purché tali richieste siano proporzionate e non ledano eccessivamente gli interessi legittimi delle parti.
La combinazione di sanzioni pecuniarie, pubbliche e di responsabilità civile mira a creare un sistema di enforcement robusto, capace di incentivare le imprese ad aderire ai principi di sostenibilità e a gestire in modo responsabile gli impatti delle loro attività. Questo approccio rafforza il quadro normativo europeo in materia di diritti umani e ambiente, offrendo alle imprese un chiaro incentivo a migliorare la loro governance e a ridurre i rischi legati alla sostenibilità.
Conclusioni
La CSDDD rappresenta un passaggio fondamentale nel rafforzamento della sostenibilità aziendale e nella promozione di una gestione responsabile delle attività economiche all’interno dell’Unione Europea. Con l’introduzione di obblighi stringenti in materia di diritti umani e ambiente, la direttiva mira a garantire che le imprese, sia europee sia extraeuropee, operino nel rispetto di standard elevati, contribuendo così a costruire un’economia più sostenibile e inclusiva. La normativa richiede alle imprese di adottare misure concrete per individuare e mitigare gli impatti negativi delle loro attività, promuovendo una trasformazione radicale delle loro operazioni lungo l’intera catena di valore.
Il complesso quadro regolatorio introdotto dalla direttiva pone sfide significative per le imprese, che devono adattarsi rapidamente e garantire una piena conformità agli obblighi di diligenza. La mancata osservanza di tali obblighi può comportare sanzioni rilevanti e rischi di responsabilità civile, rendendo indispensabile una gestione attenta e consapevole dei rischi legati alla sostenibilità. In questo contesto, è cruciale che le imprese si dotino di strumenti adeguati per affrontare tali sfide, non solo nel breve termine, ma anche con una visione di medio-lungo periodo.
In particolare, per assicurare una piena conformità normativa e una gestione efficace dei rischi, risulta fondamentale affidarsi a una consulenza legale esperta, capace di guidare le imprese nella costruzione di una strategia di conformità solida e sostenibile. Lo Studio Legale D’Agostino, con la sua vasta esperienza nei processi aziendali, offre un supporto essenziale per le imprese che desiderano allinearsi agli obblighi imposti dalla direttiva, riducendo al minimo i rischi legali e migliorando le proprie performance in materia di sostenibilità. Grazie a un approccio integrato e su misura, lo studio è in grado di assistere le aziende nella creazione di politiche di sostenibilità che non solo rispettino le normative, ma che rappresentino anche un vantaggio competitivo nel contesto globale.
da Redazione | Ott 14, 2024 | Diritto Penale
Il cyberbullismo rappresenta una delle minacce più insidiose e pervasive dell’era digitale, soprattutto nei confronti dei minori. Questo fenomeno si distingue per il suo carattere invasivo e per la sua capacità di colpire la sfera emotiva e psicologica della vittima attraverso l’uso della rete e dei mezzi di comunicazione digitale. Diversi comportamenti configurano il reato di cyberbullismo, tra i quali figurano la molestia online, la diffamazione tramite social media o altre piattaforme, il furto di identità digitale, nonché l’acquisizione illecita o il trattamento illecito di dati personali. Spesso, queste condotte si concretizzano anche nella diffusione non autorizzata di contenuti personali o offensivi, che amplifica il danno subito dalla vittima, esponendola a gravi ripercussioni sia a livello psicologico che sociale.
A differenza del bullismo tradizionale, il cyberbullismo consente all’aggressore di agire da remoto, celandosi dietro l’anonimato della rete, il che rende le vittime particolarmente vulnerabili e prive di strumenti immediati di difesa. Tuttavia, nonostante l’assenza di un contatto fisico diretto, gli effetti di queste condotte sono estremamente dannosi e possono tradursi in ansia, isolamento, paura e, nei casi più gravi, anche in istigazione al suicidio o all’autolesionismo.
Con la promulgazione della Legge 70/2024, il legislatore italiano ha compiuto un passo fondamentale nell’ampliare la tutela giuridica contro queste condotte, estendendo l’applicazione delle disposizioni della Legge 71/2017 – inizialmente circoscritta alla prevenzione e al contrasto del cyberbullismo – anche al bullismo. Quest’ultimo viene ora definito come l’insieme di atti aggressivi, ripetuti nel tempo, che possono includere violenze fisiche o psicologiche, offese, derisioni e minacce, finalizzate a creare sentimenti di ansia, isolamento o esclusione sociale in una o più vittime. Questa estensione normativa riconosce ufficialmente la gravità del bullismo, considerandolo alla stregua del cyberbullismo per quanto riguarda il potenziale dannoso e la necessità di un intervento giuridico tempestivo.
Bullismo e Cyberbullismo: dalla Legge 71/2017 alla Legge 70/2024
La Legge 71/2017, entrata in vigore per contrastare il fenomeno del cyberbullismo, è stato il primo intervento normativo organico in Italia volto a disciplinare un problema che, con l’avvento delle nuove tecnologie, ha assunto una dimensione sempre più preoccupante. La legge ha cercato di fornire una risposta completa, rivolta soprattutto alla tutela dei minori, ossia la fascia più vulnerabile della popolazione rispetto a questo tipo di condotte. Il cyberbullismo viene definito dalla normativa come qualunque forma di molestia, aggressione, ricatto, ingiuria, furto di identità, diffusione illecita di contenuti o trattamento non autorizzato di dati personali, perpetrata attraverso mezzi digitali e rivolta a minori.
Uno degli aspetti centrali della Legge 71/2017 riguarda la possibilità per i minori che abbiano compiuto 14 anni, nonché per i loro genitori o tutori, di chiedere ai gestori di siti internet o piattaforme social l’oscuramento, la rimozione o il blocco di contenuti lesivi che possano costituire atti di cyberbullismo. Questa richiesta mira a tutelare tempestivamente la vittima, impedendo che i contenuti dannosi possano continuare a circolare e amplificare il danno subito.
Nel caso in cui il gestore del sito o del social network non provveda entro 48 ore, la legge prevede che la vittima possa rivolgersi al Garante per la protezione dei dati personali, il quale è obbligato ad agire entro altre 48 ore. Questo meccanismo di risposta rapida rappresenta una delle novità più rilevanti introdotte dalla normativa del 2017, poiché mira a garantire una protezione immediata e concreta alla vittima, evitando che l’aggressione virtuale continui a diffondersi online, con conseguenze potenzialmente devastanti.
Accanto a queste disposizioni, la Legge 71/2017 ha assegnato un ruolo di primo piano alle istituzioni scolastiche. Le scuole, infatti, sono tenute a promuovere attività di formazione e sensibilizzazione riguardo all’uso consapevole della rete e ai diritti e doveri connessi all’utilizzo delle tecnologie informatiche. Ogni istituto scolastico deve nominare un referente per il cyberbullismo, responsabile del coordinamento delle attività di prevenzione e contrasto al fenomeno. Questa figura svolge un ruolo cruciale nella promozione di un ambiente scolastico sicuro, in cui studenti, docenti e famiglie collaborano attivamente per prevenire e affrontare episodi di cyberbullismo.
Un altro punto rilevante introdotto dalla Legge 71/2017 è la previsione del procedimento di ammonimento, uno strumento che consente di intervenire rapidamente in situazioni meno gravi, prima che le condotte possano degenerare in reati veri e propri. In base a questa procedura, quando un minore ultraquattordicenne compie atti di cyberbullismo senza che questi configurino reato, la vittima o i suoi genitori possono rivolgersi al Questore, che, dopo aver ascoltato il minore autore degli atti e i suoi genitori, può emettere un ammonimento verbale.
L’ammonimento, previsto originariamente per i reati di stalking, si configura come un avviso formale, con cui il Questore richiama il minore alla gravità delle sue azioni e lo avverte delle conseguenze legali che potrebbero derivare dalla reiterazione degli stessi comportamenti. Questo strumento ha una funzione principalmente educativa e preventiva, permettendo di evitare che episodi isolati si trasformino in condotte sistematiche e più gravi.
La Legge 71/2017, dunque, ha introdotto un complesso di misure destinate a prevenire e contrastare il fenomeno del cyberbullismo, puntando principalmente sull’educazione e la sensibilizzazione. Tuttavia, con il passare degli anni e l’evolversi delle modalità di bullismo, è emersa la necessità di un intervento normativo più ampio, che tenesse conto anche delle aggressioni perpetrate nella realtà fisica, ovvero il bullismo tradizionale.
È in questo contesto che si inserisce la Legge 70/2024, la quale rappresenta una significativa evoluzione della normativa in materia di bullismo e cyberbullismo. Questa nuova legge ha esteso le disposizioni della Legge 71/2017, applicandole espressamente anche al bullismo, e ha introdotto una serie di misure aggiuntive volte a rafforzare la protezione dei minori.
La Legge 70/2024 ha fornito una definizione precisa di bullismo, inteso come un insieme di aggressioni o molestie reiterate, sia fisiche che psicologiche, che possono essere perpetrate da una singola persona o da un gruppo di persone. Le condotte di bullismo sono idonee a provocare nella vittima sentimenti di ansia, timore, isolamento o emarginazione.
Esse includono una vasta gamma di comportamenti, che vanno dalle minacce ai ricatti, dalle violenze fisiche o psicologiche fino all’istigazione al suicidio o all’autolesionismo. La legge ha quindi riconosciuto che anche le forme di bullismo non legate al mondo digitale possono avere conseguenze devastanti per la vittima, equiparandole sotto il profilo giuridico al cyberbullismo.
Un altro importante intervento introdotto dalla Legge 70/2024 riguarda la possibilità per le Regioni di attivare, presso le scuole, servizi di supporto psicologico per gli studenti. Questo servizio mira a fornire assistenza agli alunni in situazioni di disagio, coinvolgendo anche le famiglie in un percorso di prevenzione e gestione dei conflitti. L’obiettivo è quello di garantire un intervento tempestivo e qualificato, capace di affrontare le problematiche legate al bullismo e al cyberbullismo in modo integrato e personalizzato.
Inoltre, la nuova legge prevede che ogni istituto scolastico adotti un codice interno per la prevenzione e il contrasto del bullismo e del cyberbullismo, oltre a istituire un tavolo permanente di monitoraggio. Questo tavolo, composto da rappresentanti degli studenti, delle famiglie, del corpo docente e da esperti del settore, ha il compito di monitorare costantemente la situazione all’interno della scuola, promuovendo iniziative di prevenzione e sensibilizzazione.
Un ulteriore elemento di novità della Legge 70/2024 è rappresentato dalle misure rieducative previste per i minori responsabili di condotte aggressive o lesive della dignità altrui. Il Tribunale per i minorenni può disporre lo svolgimento di progetti educativi e riparativi, sotto la direzione dei servizi sociali, che possono includere attività di volontariato sociale, laboratori teatrali o di scrittura creativa, corsi di musica o sport.
L’obiettivo di queste misure è quello di favorire lo sviluppo di forme di comunicazione non violente e promuovere una cultura del rispetto reciproco, consentendo al minore di comprendere la gravità delle proprie azioni e di inserirsi in dinamiche relazionali più sane e costruttive.
Cyberbullismo: l’importanza di una tutela legale effettiva
In conclusione, le Leggi 71/2017 e 70/2024 istituiscono un solido quadro normativo per la prevenzione e il contrasto di fenomeni come il bullismo e il cyberbullismo. La Legge 71/2017 ha posto le basi per la tutela contro il cyberbullismo, introducendo strumenti come l’ammonimento e la rimozione rapida di contenuti lesivi, mentre la Legge 70/2024 ha ampliato questa protezione, includendo anche il bullismo tradizionale e potenziando gli interventi educativi e rieducativi.
Tuttavia, nonostante le misure previste, il fenomeno rimane complesso e articolato. È per questo fondamentale il ruolo di un professionista legale esperto, che possa assistere le vittime e le loro famiglie nell’attivare tutti gli strumenti messi a disposizione dall’ordinamento giuridico per ottenere una tutela effettiva. Rivolgersi a uno studio legale specializzato in reati informatici consente non solo di gestire la parte legale del procedimento, ma anche di ricevere un supporto qualificato per orientarsi nelle dinamiche scolastiche, psicologiche e sociali legate a queste delicate problematiche.
Lo Studio Legale D’Agostino è a disposizione per fornire assistenza in materia di cyberbullismo e bullismo, garantendo un intervento tempestivo e personalizzato volto alla tutela dei diritti dei minori.
Per aggiornamenti sul tema dei reati informatici visita la nostra pagina dedicata e contattaci per un consulto.
da Redazione | Ott 13, 2024 | Diritto d'Impresa, Diritto Penale
Negli ultimi anni, l’evoluzione del cybercrime ha assunto una dimensione sempre più preoccupante, evidenziando la necessità di una risposta globale coordinata da parte delle istituzioni e delle forze dell’ordine. Internet Organised Crime Threat Assessment (IOCTA) 2024, redatto da Europol, offre un’analisi approfondita delle principali minacce che hanno colpito l’Unione Europea nel 2023.
Questo report, giunto alla sua decima edizione, rappresenta uno strumento fondamentale per comprendere come il cybercrime si sia adattato alle nuove tecnologie e alle crescenti complessità dei sistemi informatici, esponendo aziende, istituzioni e privati cittadini a rischi sempre maggiori. Tra le minacce più rilevanti identificate nel rapporto, si evidenziano l’uso illecito delle criptovalute, l’aumento degli attacchi ransomware e la proliferazione di contenuti di sfruttamento sessuale dei minori online. Questo articolo si propone di illustrare i principali risultati del IOCTA 2024, con un focus sulle tendenze emergenti e le prospettive future in materia di cybercrime, con particolare attenzione agli aspetti giuridici e normativi connessi ai reati informatici.
In questo breve articolo passeremo in rassegna ciascuna di queste voci, così da dare al lettore un quadro chiaro dei più recenti sviluppi del crybercrime.
Valute virtuali e dark-web. I fattori di crescita del cybercrime
Le criptovalute e il dark web rappresentano due elementi centrali nel panorama del crimine informatico moderno, fungendo da strumenti indispensabili per consentire e facilitare un’ampia gamma di attività illecite. Il report IOCTA 2024 di Europol evidenzia come questi strumenti siano ormai essenziali per i cybercriminali, fornendo loro mezzi per operare con un alto grado di anonimato e sicurezza, riducendo le possibilità di identificazione. In particolare, l’uso delle criptovalute, come il Bitcoin e le altcoins come Monero, è cresciuto in modo esponenziale nei crimini di natura finanziaria, con una particolare prevalenza nelle attività di riciclaggio di denaro e finanziamento del terrorismo.
La capacità delle criptovalute di essere trasferite rapidamente e senza il bisogno di intermediari finanziari tradizionali, rende estremamente difficile per le autorità di contrasto rintracciare i flussi di denaro criminali, soprattutto quando queste operazioni avvengono su reti decentralizzate e con l’utilizzo di servizi anonimi.
Il Bitcoin resta la criptovaluta maggiormente utilizzata nel contesto criminale, soprattutto nelle operazioni di estorsione legate ai ransomware, dove i malintenzionati richiedono il pagamento in criptovalute per decriptare i dati delle vittime. Tuttavia, il report sottolinea che sempre più spesso i criminali informatici ricorrono anche ad altcoins come Monero, caratterizzate da una maggiore opacità e da funzionalità di anonimizzazione avanzate, rendendo ancora più difficile il lavoro delle forze dell’ordine.
Nonostante ciò, l’adozione di regolamentazioni più stringenti all’interno dell’Unione Europea, come il quadro normativo che impone obblighi di trasparenza ai crypto-asset service providers (CASPs), ha migliorato la cooperazione tra le autorità investigative e i fornitori di servizi criptovalutari, incrementando il controllo su queste transazioni.
Parallelamente, il dark web continua a fungere da piattaforma chiave per lo scambio di beni e servizi illeciti. Attraverso l’uso di reti come Tor, i criminali possono comprare e vendere dati rubati, strumenti di hacking, malware e altro materiale illegale, tra cui contenuti di abuso sessuale su minori. Nonostante i recenti successi delle operazioni delle forze dell’ordine, come la chiusura del Monopoly Market da parte della polizia tedesca, la frammentazione del dark web rende difficile un contrasto efficace a lungo termine. I marketplace criminali, infatti, sono sempre più volatili e tendono a chiudere e riaprire sotto nomi diversi, spesso attraverso mirror sites che ripristinano rapidamente l’attività illecita in nuove location virtuali.
La combinazione tra criptovalute e dark web ha favorito lo sviluppo di un vero e proprio ecosistema criminale, in cui il cybercrime-as-a-service prospera, fornendo a malintenzionati di ogni livello strumenti tecnologici sempre più sofisticati per compiere crimini informatici. Contrastare l’uso illecito di questi strumenti rappresenta una delle principali sfide che i governi e le forze dell’ordine dovranno affrontare negli anni a venire, nel tentativo di ridurre l’impatto devastante del cybercrime sull’economia e sulla sicurezza pubblica.
Cybercrime e attacchi informatici: statiche ed evoluzione del fenomeno
Gli attacchi informatici sono, secondo Europol, uno dei fenomeni più pervasivi e distruttivi del panorama del cybercrime, con un impatto significativo sulle infrastrutture critiche, sulle aziende e sui privati cittadini. Il report IOCTA 2024 evidenzia come il 2023 sia stato caratterizzato da un aumento degli attacchi informatici, in particolare quelli legati al modello del ransomware-as-a-service (RaaS). Questo modello consente a gruppi di criminali informatici di “affittare” strumenti di ransomware a soggetti meno esperti, democratizzando di fatto l’accesso a queste tecnologie distruttive. Il ransomware è diventato uno degli strumenti più potenti nelle mani dei cybercriminali, i quali sfruttano le vulnerabilità delle infrastrutture informatiche per criptare i dati delle vittime e chiedere un riscatto in cambio della loro decriptazione.
Uno degli aspetti più preoccupanti che emerge dal report è la crescente specializzazione dei criminali informatici. Alcuni affiliati ai gruppi ransomware, ad esempio, si concentrano esclusivamente sul guadagnare accesso iniziale ai sistemi di grandi aziende e infrastrutture critiche, per poi vendere tale accesso ad altri criminali specializzati in ransomware. Questo sistema frammentato e altamente specializzato rende estremamente difficile il contrasto da parte delle forze dell’ordine, poiché i vari attori operano in modo isolato, minimizzando le possibilità di essere identificati.
Il report sottolinea come i gruppi ransomware tendano a colpire con sempre maggiore frequenza le piccole e medie imprese, che rappresentano il bersaglio ideale a causa delle loro difese informatiche generalmente meno sofisticate. Tuttavia, gli attacchi non risparmiano neanche le grandi organizzazioni, specialmente nel settore sanitario, manifatturiero e delle infrastrutture critiche. Questi attacchi causano gravi danni economici, paralizzano le operazioni aziendali e, in alcuni casi, mettono a rischio la vita delle persone, come è stato dimostrato da attacchi contro ospedali e reti di distribuzione energetica.
Un altro trend evidenziato nel IOCTA 2024 è l’uso sempre più sofisticato di tecniche di estorsione multilivello. Non si tratta più solo di criptare i dati delle vittime, ma anche di rubarli e minacciare di pubblicarli online in caso di mancato pagamento del riscatto. Questa doppia pressione aumenta le probabilità di successo per i criminali, poiché le vittime, temendo ripercussioni sulla propria reputazione o sanzioni legali, sono più inclini a pagare il riscatto.
Il report sottolinea inoltre come la frammentazione del panorama ransomware sia stata accentuata dalle recenti operazioni delle forze dell’ordine, che hanno portato allo smantellamento di gruppi come Conti e LockBit. Tuttavia, queste operazioni non hanno fermato il fenomeno, bensì hanno portato alla riorganizzazione di questi gruppi sotto nuovi nomi, spesso con tecnologie e metodi ancora più sofisticati. La crescita del ransomware-as-a-service e l’uso crescente di strumenti di intelligenza artificiale per migliorare l’efficacia degli attacchi rendono chiaro che i cyber-attacchi continueranno a evolvere, rappresentando una delle principali minacce alla sicurezza globale.
Reati di pedopornografia. Un fenomeno in continua evoluzione
Uno dei fenomeni più allarmanti descritti nel IOCTA 2024 è l’aumento costante dei casi di sfruttamento sessuale dei minori online (Child Sexual Exploitation, CSE). Secondo Europol, il volume di contenuti illegali, noti come Child Sexual Abuse Material (CSAM), è in crescita, e una parte significativa di questo materiale è auto-generato dalle stesse vittime, spesso sotto coercizione o sfruttamento da parte di predatori online. Gli aggressori, infatti, utilizzano tecniche di grooming per guadagnare la fiducia dei minori, inducendoli a condividere materiale sessualmente esplicito, che viene poi utilizzato come mezzo per estorcere ulteriori contenuti o denaro.
L’uso di piattaforme di comunicazione criptata, come le applicazioni con end-to-end encryption (E2EE), ha complicato notevolmente il lavoro delle forze dell’ordine, poiché tali strumenti rendono estremamente difficile il monitoraggio delle attività illegali e la raccolta di prove. Questi canali vengono ampiamente utilizzati non solo per lo scambio di materiale pedopornografico, ma anche per la comunicazione e la pianificazione tra i membri delle reti criminali. Le indagini sono ulteriormente ostacolate dalla crescente presenza di tecnologie basate sull’intelligenza artificiale, che consentono la creazione di CSAM completamente generato artificialmente, rendendo ancora più complesso distinguere il materiale reale da quello prodotto con strumenti digitali.
Un altro fenomeno particolarmente preoccupante è l’estorsione sessuale dei minori, spesso perpetrata con finalità sia sessuali che economiche. I criminali minacciano di diffondere immagini esplicite delle vittime a meno che non vengano soddisfatte le loro richieste, costringendo così i minori a produrre nuovi contenuti o a pagare somme di denaro.
Il IOCTA 2024 lancia un avvertimento chiaro: la proliferazione del materiale di sfruttamento sessuale dei minori online non mostra segni di rallentamento, e l’uso di tecnologie sempre più sofisticate da parte dei cybercrime actors rende cruciale un potenziamento delle capacità investigative delle forze dell’ordine per affrontare questa tipologia di cybercrime in continua evoluzione.
Truffe e frodi informatiche. Le ultime frontiere del cybercrime.
Le frodi online e le truffe legate ai pagamenti rappresentano – secondo Europol – una delle minacce più rilevanti nel contesto del cybercrime, con un numero sempre crescente di vittime e perdite economiche significative. Il IOCTA 2024 evidenzia come questi schemi fraudolenti si stiano evolvendo rapidamente, diventando sempre più sofisticati e difficili da individuare.
Tra le truffe più comuni, il phishing rimane uno dei vettori d’attacco più utilizzati, colpendo tanto i privati quanto le aziende. Il phishing, che consiste nell’inganno tramite email o messaggi di testo per rubare informazioni sensibili come credenziali di accesso o dati bancari, ha visto un’evoluzione significativa con l’introduzione del phishing-as-a-service. Questo modello permette a criminali meno esperti di acquistare o affittare kit di phishing preconfigurati, riducendo così la barriera di ingresso per commettere questa tipologia di cybercrime.
Tra le nuove varianti di phishing, il smishing (phishing via SMS) e il quishing (phishing tramite codici QR) hanno registrato un aumento, dimostrando come i criminali sappiano adattarsi alle abitudini degli utenti e sfruttare nuove tecnologie. Anche l’uso dell’intelligenza artificiale sta rivoluzionando questo ambito, permettendo ai criminali di creare email di phishing sempre più convincenti e personalizzate, rendendo ancora più difficile per le vittime distinguere un messaggio fraudolento da uno legittimo.
Un altro schema di frode particolarmente diffuso è la compromissione delle email aziendali, nota come Business Email Compromise (BEC), che sfrutta tecniche di ingegneria sociale per indurre i dipendenti a effettuare pagamenti fraudolenti o trasferire fondi su conti controllati dai criminali. Questo tipo di financial cybercrime ha causato perdite enormi per le imprese, in particolare le piccole e medie imprese che non dispongono di sofisticati sistemi di sicurezza informatica. Anche le truffe romantiche (romance fraud), benché meno visibili a causa del basso tasso di denuncia, continuano a mietere vittime. Questi schemi truffaldini sfruttano il desiderio di affetto e la fiducia delle persone per estorcere denaro in modo subdolo.
Le frodi legate agli investimenti rappresentano un altro settore in forte crescita, con l’uso delle criptovalute che continua a essere una componente centrale di questi schemi. I criminali utilizzano piattaforme di investimento false o truffaldine per attrarre le vittime, promettendo rendimenti elevati, e poi svanendo con i fondi raccolti. Il report evidenzia come molti di questi schemi siano supportati da Remote Administration Tools (RATs), che permettono ai truffatori di prendere il controllo dei dispositivi delle vittime per monitorare e manipolare le loro transazioni.
Il IOCTA 2024 sottolinea che la crescente disponibilità di servizi illegali sul dark web, come il phishing-as-a-service e il malware-as-a-service, ha reso le frodi online e i sistemi di pagamento un terreno fertile per i cybercriminali. La collaborazione internazionale tra le forze dell’ordine e le aziende private sarà cruciale per ridurre l’impatto del cybercrime, proteggendo i consumatori e le imprese dalle perdite finanziarie e dal furto di dati personali.
Cybercrime e cyber-attacchi. Uno sguardo al futuro
Il report IOCTA 2024 si conclude con uno sguardo proiettato al futuro, evidenziando come il cybercrime non solo continuerà a crescere, ma diventerà sempre più sofisticato. Tra le principali previsioni, Europol individua un’ulteriore diffusione dell’uso di tecnologie basate sull’intelligenza artificiale nel contesto criminale. Gli strumenti di machine learning e deep learning stanno già consentendo ai cybercriminali di migliorare significativamente le loro tecniche di ingegneria sociale, rendendo le frodi, i tentativi di phishing e le truffe online ancora più difficili da individuare. Si prevede che l’uso di large language models (LLM) da parte dei criminali si espanderà ulteriormente, permettendo loro di personalizzare le truffe in modo da renderle ancora più convincenti.
Un altro aspetto critico del panorama futuro riguarda la crescente frammentazione del mercato del ransomware. Mentre alcune operazioni sono state smantellate dalle forze dell’ordine, i cybercrime actors si stanno riorganizzando sotto nuove forme, sviluppando varianti di ransomware sempre più difficili da attribuire e contrastare. La proliferazione del ransomware-as-a-service (RaaS), insieme alla crescente capacità dei criminali di utilizzare exploit di zero-day e altre vulnerabilità avanzate, preannuncia un ulteriore incremento degli attacchi mirati alle piccole e medie imprese, che spesso non dispongono delle risorse per difendersi efficacemente.
Inoltre, l’uso delle criptovalute continuerà a rappresentare una sfida fondamentale per le forze dell’ordine. Sebbene siano state adottate nuove normative che impongono una maggiore trasparenza e cooperazione da parte dei fornitori di servizi legati alle criptovalute, i criminali stanno rapidamente cercando di aggirare tali restrizioni, utilizzando altcoins e strumenti di anonimizzazione sempre più sofisticati. Il futuro del crimine informatico vedrà probabilmente un incremento del ricorso a criptovalute più difficili da tracciare, oltre a una maggiore integrazione tra piattaforme del dark web e mercati finanziari criminali.
Infine, il report prevede una crescita significativa dei crimini legati al child sexual exploitation (CSE), in particolare a causa dell’aumento di contenuti di abuso sessuale generati o alterati con l’uso dell’intelligenza artificiale. Questo crea nuove sfide legali e investigative, poiché sarà sempre più complesso distinguere tra materiale reale e contenuti artificialmente generati.
In questo contesto di minacce in costante evoluzione, la preparazione diventa fondamentale. Lo Studio Legale D’Agostino si propone come un partner strategico per imprese e istituzioni, offrendo consulenza legale specializzata nella prevenzione e nella gestione dei rischi legati ai crimini informatici. Garantire la conformità alle normative vigenti e implementare solide strategie di cybersicurezza sono le prime linee di difesa contro un panorama criminale sempre più insidioso.
Per scaricare il report IOCTA di Europol clicca: qui
Sulla recente riforma in materia di cybercrime, rinviamo al nostro recente: articolo
da Redazione | Ott 11, 2024 | Diritto d'Impresa, Diritto Penale
La Legge n. 90/2024, anche nota come Legge sulla Cybersicurezza, introduce rilevanti novità in materia, imponendo una serie di obblighi in capo alle pubbliche amministrazioni e alle imprese che operano in settori strategici. Tale normativa si inserisce in un contesto giuridico che mira a rafforzare la resilienza cibernetica nazionale, e rappresenta uno dei tasselli di un mosaico complesso (specialmente a seguito dell’emanazione del D. Lgs. 138/2024).
La Legge in commento è strutturata in due capi. Per quel che qui interessa il Capo I introduce misure per il rafforzamento della cybersicurezza, imponendo obblighi specifici alle pubbliche amministrazioni, quali l’obbligo di notifica degli incidenti informatici e la nomina di un referente per la cybersicurezza. Queste disposizioni mirano a rendere più sicure le infrastrutture digitali critiche, aumentando la capacità di risposta e prevenzione agli attacchi cibernetici. Non tratteremo invece del Capo II che apporta modifiche significative al codice penale e al codice di procedura penale (sul punto di rinviamo al nostro precedente approfondimento).
L’articolo che segue intende analizzare le principali disposizioni della legge, evidenziando gli impatti operativi che questa comporta per le pubbliche amministrazioni e le imprese coinvolte, offrendo al contempo un quadro chiaro delle misure necessarie per assicurare la conformità alla normativa e prevenire possibili sanzioni.
Gli obblighi in capo alle P.A. e i compiti di ACN
Gli obblighi in capo alle P.A. sono radicalmente mutati a seguito della promulgazione della Legge n. 90 del 2024, che introduce obblighi specifici di notifica degli incidenti informatici.
Ai sensi dell’art. 1 della Legge, le pubbliche amministrazioni centrali, Regioni, Province autonome, Comuni con popolazione superiore a 100.000 abitanti, città metropolitane, società di trasporto pubblico urbano ed extraurbano con bacino superiore a 100.000 abitanti, aziende sanitarie locali e società di gestione delle acque reflue e dei rifiuti sono soggetti all’obbligo di notifica. Questi enti devono segnalare entro 24 ore dall’accertamento, tramite il sito dell’Agenzia per la Cybersicurezza Nazionale (ACN), ogni incidente che rientra nella tassonomia definita dal D.L. 105/2019; entro 72 ore dalla segnalazione, è richiesta una notifica completa di tutti gli elementi rilevanti dell’incidente stesso.
In caso di inosservanza, l’ACN può intervenire con un primo avviso, segnalando che la reiterazione del comportamento nell’arco di cinque anni comporterà ulteriori sanzioni, comprese ispezioni mirate per verificare l’attuazione delle misure correttive. Se le violazioni si ripetono, l’Agenzia può imporre sanzioni amministrative pecuniarie che variano tra 25.000 e 125.000 euro, oltre alla responsabilità disciplinare e amministrativo-contabile per i dirigenti e funzionari coinvolti.
Ai sensi dell’art. 2 della L. 90/2024 gli enti pubblici (e le società private ad essi equiparate) devono adottare, entro 15 giorni, gli interventi risolutivi richiesti dall’Agenzia per la Cybersicurezza Nazionale (ACN) nel caso in cui vengano segnalate vulnerabilità nei loro sistemi informatici. In pratica, l’Agenzia potrà segnalare la presenza di vulnerabilità nei sistemi di questi enti e inviare loro una segnalazione specifica; gli enti avranno quindi l’obbligo di adottare rapidamente le misure necessarie per risolvere la questione. In caso contrario l’ACN potrà applicare sanzioni amministrative entro i limiti edittali sopra indicati.
In tal modo il legislatore ha inteso assicurare una risposta rapida e coordinata per eliminare vulnerabilità, che potrebbero compromettere la sicurezza cibernetica dei sistemi utilizzati dalle PA e dai soggetti critici.
Infine, la novella ha previsto l’istituzione, all’interno dell’organigramma delle P.A., di una struttura interna dedicata e la nomina di un referente per la cybersicurezza.
Più precisamente, le amministrazioni individuate all’articolo 1, comma 1, della Legge sono tenute a identificare una struttura, anche tra quelle già esistenti, all’interno delle risorse umane, strumentali e finanziarie disponibili. Questa struttura assume un ruolo centrale nello sviluppo di politiche e procedure volte a garantire la sicurezza delle informazioni. Tra i suoi compiti principali vi è la redazione e l’aggiornamento continuo di un sistema di analisi preventiva per il rilevamento delle minacce informatiche e di un piano di gestione dei rischi connessi.
Inoltre, la struttura è chiamata a produrre un documento che definisca i ruoli e l’organizzazione del sistema di sicurezza delle informazioni dell’amministrazione, assicurando così una chiara distribuzione delle responsabilità. È altresì prevista l’elaborazione di un piano programmatico per la protezione di dati, sistemi e infrastrutture informatiche.
A questo si affianca l’impegno a pianificare e attuare interventi mirati al potenziamento delle capacità di gestione dei rischi informatici, in coerenza con i piani precedentemente adottati. Un aspetto fondamentale è la necessità di conformarsi alle misure indicate nelle linee guida emanate dall’Agenzia per la Cybersicurezza Nazionale, garantendo un allineamento costante con gli standard nazionali di sicurezza. L’attività di monitoraggio continuo delle minacce e delle vulnerabilità riveste un ruolo cruciale, consentendo un aggiornamento tempestivo delle misure di sicurezza.
Presso questa struttura opera il referente per la cybersicurezza, una figura scelta sulla base di comprovate competenze e professionalità nel settore. Tale figura non solo è responsabile della sicurezza informatica all’interno dell’amministrazione, ma funge anche da punto di contatto unico con l’Agenzia per la Cybersicurezza Nazionale, garantendo così un dialogo costante e diretto con l’ente nazionale preposto alla gestione delle questioni di cybersicurezza.
Infine, la legge attribuisce all’Agenzia per la Cybersicurezza Nazionale il potere di individuare modalità di coordinamento e collaborazione tra le diverse amministrazioni e i referenti per la cybersicurezza, con l’obiettivo di rafforzare ulteriormente la resilienza del settore pubblico. Tuttavia, l’articolo esclude dall’applicazione delle sue disposizioni alcune categorie di soggetti, come gli enti già disciplinati dal D.L. 105/2019 e gli organi dello Stato preposti alla difesa, alla sicurezza militare, alla prevenzione e alla repressione dei reati, nonché gli organismi di informazione per la sicurezza.
Esperto legale in cybersicurezza. Affida allo Studio Legale D’Agostino a Roma la consulenza per l’adempimento degli obblighi in materia di Cyber Security.
Da quando decorre l’obbligo di notifica degli incidenti? Cosa notificare?
L’obbligo di notifica degli incidenti informatici, introdotto dall’art. 1 della Legge n. 90 del 2024, si estende agli incidenti, come definiti dall’art. 1, comma 3-bis del D.L. n. 105 del 2019, che, a sua volta, richiama la definizione contenuta nell’art. 1, comma 1, lett. h) del DPCM n. 81 del 2021.
Il combinato disposto di queste disposizioni impone ai destinatari della Legge n. 90 di notificare ogni evento che determini il malfunzionamento, l’interruzione, anche parziale, o l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici, sia esso di natura accidentale o intenzionale. Si tratta di una nozione di “incidente” particolarmente ampia, che copre una vasta gamma di eventi potenzialmente lesivi del corretto funzionamento delle infrastrutture informatiche.
Tale concetto di incidente, così come delineato dalla Legge n. 90 del 2024, si distingue dalla nozione di “incidente” contenuta nella direttiva NIS 2 e nel D. Lgs. n. 138 del 2024. Quest’ultimo, infatti, definisce l’incidente come “un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi”.
La differenza fondamentale tra le due definizioni risiede nell’ampiezza della nozione prevista dalla Legge n. 90, che include anche situazioni di utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici, ipotesi che, seppur non sempre riconducibili a veri e propri attacchi informatici, possono comunque determinare conseguenze rilevanti per il funzionamento delle infrastrutture critiche.
Tale differenza è di particolare rilievo, soprattutto in relazione al contesto delle pubbliche amministrazioni o degli enti soggetti all’applicazione della Legge n. 90 del 2024. Un esempio significativo di queste condotte improprie è rappresentato dall’accesso abusivo a un sistema informatico, disciplinato dall’art. 615-ter del codice penale, per il quale esiste un vasto filone giurisprudenziale. Anche una semplice anomalia o un utilizzo improprio delle risorse informatiche potrebbe far scattare l’obbligo di notifica per l’ente, rendendo necessaria una segnalazione tempestiva all’Agenzia per la Cybersicurezza Nazionale (ACN).
Un altro aspetto fondamentale da tenere in considerazione è l’approssimarsi del termine di efficacia delle disposizioni relative all’obbligo di notifica per alcune categorie specifiche di soggetti. In particolare, le disposizioni troveranno applicazione, a partire dal 13 gennaio 2025, per i comuni con popolazione superiore a 100.000 abitanti, i comuni capoluoghi di regione, le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, le società di trasporto pubblico extraurbano operanti nelle città metropolitane, le aziende sanitarie locali, nonché le società in house che forniscono servizi informatici o di trasporto.
Questi enti dovranno quindi predisporre tutte le misure necessarie per adempiere all’obbligo di notifica entro tale data, per evitare di incorrere nelle conseguenze sanzionatorie previste dalla legge. Per contro, l’obbligo di notifica degli incidenti è già attualmente efficace per le amministrazioni centrali dello Stato, le regioni, le province autonome e le città metropolitane.
Infine, occorre sottolineare che la Legge n. 90 del 2024 prevede, in caso di reiterata inosservanza dell’obbligo di notifica, l’applicazione di sanzioni pecuniarie nei confronti dell’ente inadempiente. Tuttavia, le conseguenze non si limitano all’aspetto economico. La reiterata inosservanza può infatti costituire anche una causa di responsabilità disciplinare e amministrativo-contabile in capo ai funzionari e ai dirigenti responsabili dell’omessa notifica, ampliando così il regime di responsabilità connesso alla gestione degli incidenti informatici all’interno delle pubbliche amministrazioni e delle società coinvolte. Questa previsione mira a garantire una maggiore diligenza nell’adempimento di un obbligo che riveste un ruolo cruciale per la tutela della cybersicurezza e del corretto funzionamento delle infrastrutture informatiche nazionali.
Conclusioni
In conclusione, la Legge n. 90 del 2024 segna un importante passo avanti nella tutela della cybersicurezza nazionale, introducendo un sistema di obblighi che coinvolge direttamente le pubbliche amministrazioni e le imprese operanti in settori strategici. L’obbligo di notifica degli incidenti informatici, unito alla previsione di sanzioni significative in caso di mancata conformità, è volto a garantire una risposta tempestiva ed efficace alle minacce cibernetiche. La definizione di “incidente” è stata ampliata rispetto a quella contenuta nella direttiva NIS 2, includendo anche l’utilizzo improprio dei sistemi informatici, evidenziando la necessità di un controllo più stringente e una superficie di situazioni da notificare davvero ampia.
Un altro elemento cruciale della normativa è l’obbligo di nomina di un referente per la cybersicurezza all’interno delle amministrazioni e delle imprese coinvolte. Tale figura riveste un ruolo centrale nell’assicurare la corretta attuazione delle politiche di sicurezza informatica e nel dialogo con l’Agenzia per la Cybersicurezza Nazionale, garantendo una gestione efficace degli incidenti e una conformità continua alle disposizioni normative.
La conformità a questi obblighi richiede un’attenta pianificazione e competenze specifiche, e rappresenta una sfida complessa per le realtà coinvolte. Lo Studio Legale D’Agostino è a disposizione per offrire supporto legale e consulenza specializzata nella delicata attività di compliance alla normativa, assistendo sia le pubbliche amministrazioni che le imprese nella gestione degli obblighi di notifica, nella nomina del referente per la cybersicurezza e nell’attuazione delle misure di sicurezza richieste.
Per aggiornamenti seguici anche su: https://www.linkedin.com/company/dagostinolex
Studio Legale D’Agostino: assistenza in cyber security e sicurezza informatica con focus sul Decreto NIS 2, gestione del rischio e incidenti informatici
da Redazione | Ott 10, 2024 | Diritto d'Impresa, Diritto Penale
Negli ultimi mesi, la Legge n. 90 del 2024, comunemente definita “Legge sulla cybersicurezza”, è stata oggetto di numerose interpretazioni fuorvianti, spesso amplificate dalla diffusione di fake news. Alcune voci, prive di fondamento, hanno sostenuto che la normativa equiparasse i reati informatici a quelli mafiosi, creando confusione circa la reale portata della riforma.
Altri ancora hanno erroneamente affermato che la legge abbia abolito la fattispecie di reato legata alla diffusione di malware, senza dar conto della corrispondente introduzione di una nuova fattispecie nel sistema repressivo del danneggiamento informatico.
La Legge in commento è strutturata in due capi. Il Capo I introduce misure per il rafforzamento della cybersicurezza, imponendo obblighi specifici alle pubbliche amministrazioni, quali l’obbligo di notifica degli incidenti informatici e la nomina di un referente per la cybersicurezza. Queste disposizioni mirano a rendere più sicure le infrastrutture digitali critiche, aumentando la capacità di risposta e prevenzione agli attacchi cibernetici.
Il Capo II, invece, incide direttamente sugli strumenti repressivi a disposizione dell’ordinamento, apportando modifiche significative al codice penale (in specie ai reati informatici) e al codice di procedura penale. Questi interventi ampliano la gamma delle condotte punibili e, soprattutto, inaspriscono le pene per i responsabili di crimini informatici, con l’obiettivo di rendere più efficace la lotta al cybercrime.
L’articolo che segue si propone di analizzare e commentare le principali novità introdotte dalla Legge n. 90/2024 sul fronte sostanziale (con particolare riferimento ai reati informatici) e processuale, con l’intento di chiarire l’effettiva portata della riforma; in un successivo approfondimento ci occuperemo invece delle disposizioni del Capo I relativi alle Pubbliche Amministrazioni.
Modifiche al codice penale e ai reati informatici
La Legge n. 90/2024 ha introdotto rilevanti modifiche al codice penale in materia di reati informatici, con l’obiettivo di rafforzare il trattamento sanzionatorio e di inasprire le pene per le condotte illecite nel cyberspazio. Una delle principali novità riguarda l’inasprimento delle pene previste per il reato di accesso abusivo a sistemi informatici o telematici, di cui all’art. 615-ter c.p.
Le ipotesi aggravate, in particolare, prevedono ora una reclusione da due a dieci anni, ulteriormente innalzata da quattro a dodici anni nel caso in cui la condotta illecita sia rivolta contro sistemi di interesse pubblico. Inoltre, è esteso il perimetro dell’aggravante per quelle condotte che, oltre al danneggiamento o distruzione dei sistemi, provocano la sottrazione, riproduzione, trasmissione o l’inaccessibilità ai dati e ai programmi in essi contenuti.
La novella ha altresì ampliato il dolo specifico richiesto per il reato previsto all’art. 615-quater c.p., che ora contempla, in luogo del profitto, il concetto più generico di “vantaggio”. È stato introdotto un terzo comma che prevede una pena più severa, da tre a otto anni di reclusione, per le condotte che riguardano sistemi di interesse pubblico. In questo modo, il legislatore ha voluto rafforzare la tutela di infrastrutture critiche contro i reati informatici, rendendo estremamente seria la risposta sanzionatoria per un reato che, nella sua forma base, ha un trattamento sanzionatorio piuttosto indulgente.
Tra le modifiche ai reati informatici, altra importante novità riguarda l’art. 617-bis c.p., relativo alla detenzione, diffusione e installazione abusiva di apparecchiature e mezzi atti a intercettare, impedire o interrompere comunicazioni. In questo caso, sono state introdotte nuove aggravanti per punire in modo più severo le condotte commesse da pubblici ufficiali, incaricati di pubblico servizio o da operatori di sistema, con pene più alte qualora le condotte siano rivolte contro sistemi di interesse pubblico.
Anche l’art. 617-quater c.p., che disciplina l’intercettazione illecita di comunicazioni informatiche o telematiche, è stato oggetto di modifiche, con un inasprimento delle pene e l’introduzione di aggravanti analoghe, rafforzando così la repressione delle condotte lesive della sicurezza delle comunicazioni digitali.
Significativa è l’introduzione dell’art. 623-quater c.p., che prevede una nuova circostanza attenuante speciale per reati informatici di lieve entità. Tale attenuante si applica nei casi in cui il danno o il pericolo risultino di particolare tenuità. Consente poi una diminuzione delle pene comminate fino a due terzi nel caso in cui l’autore del reato si adoperi concretamente per evitare conseguenze ulteriori, collaborando con le autorità nella raccolta di prove o nel recupero dei proventi illeciti. Questo istituto tempera il rigore sanzionatorio, permettendo una riduzione delle pene per i reati minori e per coloro che cooperano con la giustizia.
La Legge n. 90 del 2024 ha anche introdotto il nuovo reato di estorsione informatica, disciplinata dal terzo comma dell’art. 629 c.p. Tale reato punisce con la reclusione da sei a dodici anni, e con la multa, chiunque, mediante accesso abusivo, intercettazioni, danneggiamento di dati o sistemi informatici, o minacciando di compiere tali condotte, costringa qualcuno a fare o omettere qualcosa, procurando a sé o ad altri un ingiusto profitto con altrui danno.
Questa nuova fattispecie – che idealmente può essere inserita tra i reati informatici – si pone come risposta normativa al fenomeno crescente dell’estorsione informatica mediante ransomware, prevedendo un trattamento sanzionatorio particolarmente severo per tali condotte. Si tratta di una fattispecie autonoma di reato, che lascia adito ad alcuni dubbi sulla disciplina applicabile ex art. 2 c.p. (in particolare se alcune delle condotte descritte dalla norma potessero considerarsi reato in base alla legge previgente).
La riforma ha investito anche i reati informatici di danneggiamento logico e fisico, per i quali sono stati innalzati i limiti di pena e introdotte nuove aggravanti, con particolare riferimento alle condotte commesse da pubblici ufficiali, incaricati di pubblico servizio o operatori di sistema. Anche il reato di detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico ha subito modifiche significative. L’art. 615-quinquies c.p. è stato abrogato, e la fattispecie è stata inserita nel nuovo art. 635-quater.1 c.p.
Nonostante non muti la sostanza del reato, la collocazione sistematica è sicuramente più opportuna; inoltre sono state introdotte nuove aggravanti per punire più severamente le condotte commesse da soggetti con qualifiche pubblicistiche o relative a sistemi di interesse pubblico. Vale anche in questo caso la considerazione pocanzi svolta a proposito delle aggravanti del reato di cui all’art. 615-quater c.p.
Per temprare il rigore delle nuove sanzioni, la Legge n. 90/2024 ha introdotto una nuova circostanza attenuante all’art. 639-ter c.p., che prevede la diminuzione delle pene per i reati di estorsione informatica e per il danneggiamento di sistemi informatici, qualora il fatto risulti di lieve entità. Come per l’art. 623-quater c.p., è prevista una riduzione delle pene fino a due terzi per coloro che collaborano attivamente con le autorità per evitare conseguenze ulteriori del reato o per favorire il recupero dei proventi delittuosi.
Infine, nel contesto dell’art. 640 c.p., è stata introdotta una nuova aggravante per la “truffa via web”, disciplinata dal nuovo comma 2-ter dell’art. 640 c.p. Questo prevede un aumento della pena per le truffe commesse a distanza mediante strumenti informatici o telematici, idonei a ostacolare l’identificazione del colpevole. Tuttavia, nonostante l’aggravamento del trattamento sanzionatorio, la procedibilità d’ufficio per questa fattispecie non è prevista, richiedendo quindi la presentazione di querela da parte della persona offesa per l’avvio del procedimento penale.
Quanto alla responsabilità da reato dell’ente, l’art. 19 della Legge n. 90 del 2024 introduce significative modifiche all’art. 24-bis del Decreto Legislativo 8 giugno 2001, n. 231. Le modifiche riguardano, in particolare, l’inasprimento delle sanzioni pecuniarie.
Il comma 1 dell’art. 24-bis, infatti, viene modificato prevedendo un aumento delle sanzioni, che passano da un minimo di cento a cinquecento quote, a un nuovo intervallo compreso tra duecento e settecento quote. Tale aumento è finalizzato a intensificare l’impatto economico delle sanzioni in capo agli enti responsabili di tali condotte illecite.
Un’ulteriore rilevante novità è rappresentata dall’introduzione del nuovo comma 1-bis, il quale prevede l’applicazione di una sanzione pecuniaria, variabile da trecento a ottocento quote, in caso di commissione del reato di estorsione informatica, di cui al terzo comma dell’art. 629 del codice penale.
Il comma 2 dell’art. 24-bis viene anch’esso modificato, sostituendo il riferimento all’art. 615-quinquies del codice penale con l’art. 635-quater.1, che disciplina la detenzione e diffusione di programmi informatici dannosi. Anche in questo caso, si registra un aumento delle sanzioni pecuniarie, che passano da un massimo di trecento a un massimo di quattrocento quote.
Infine, il comma 4 prevede l’applicazione di sanzioni interdittive nei confronti dell’ente condannato per il reato di estorsione informatica, secondo quanto previsto dal nuovo comma 1-bis. Tali sanzioni interdittive, che comprendono misure come il divieto di contrattare con la Pubblica Amministrazione, devono avere una durata non inferiore a due anni.
Queste modifiche si collocano nel più ampio contesto di rafforzamento della repressione dei crimini informatici, con l’obiettivo di aumentare l’efficacia delle sanzioni pecuniarie e delle misure interdittive a carico degli enti coinvolti in tali illeciti.
Modifiche al codice di procedura penale e alle leggi speciali
La Legge n. 90 interviene anche su numerose disposizioni del codice di procedura penale e di leggi speciali.
Uno dei principali interventi normativi riguarda l’ampliamento della competenza della Procura distrettuale. L’art. 51, comma 3-quinquies c.p.p., che disciplina i reati di competenza della Procura distrettuale, è stato modificato per includere i reati previsti dagli artt. 635-quater, 635-quater.1 e 635-quinquies c.p. (danneggiamento fisico, detenzione e diffusione di programmi informatici dannosi e danneggiamenti informatici di sistemi di pubblica utilità).
Inoltre, sono state aggiunte le condotte di falso che incidono sui poteri di controllo e ispettivi relativi ai soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, come stabilito dall’art. 1, comma 11, del D.L. n. 105/2019. Questo intervento mira a garantire un più rigido controllo dei reati che impattano sulla sicurezza nazionale cibernetica, facendo leva sulle capacità investigative della Procura distrettuale.
Un ulteriore emendamento riguarda la disciplina della proroga delle indagini preliminari. L’art. 406, comma 5-bis, c.p.p., introduce una deroga alla disciplina ordinaria basata sul contraddittorio delle parti. Questo permette agli inquirenti di ottenere la proroga inaudita altera parte. Inoltre, la durata massima delle indagini preliminari è stata estesa a due anni per tutti i principali reati informatici, tenuto conto della particolare difficoltà che tali indagini comportano.
I reati informatici più gravi, quali l’accesso abusivo aggravato a sistemi informatici, il danneggiamento fisico e logico di sistemi di pubblica utilità e i reati previsti dagli artt. 617-quater, 617-quinquies e 617-sexies c.p. (se commessi contro sistemi informatici o telematici di interesse pubblico, utilizzati dallo Stato o da imprese esercitanti servizi pubblici), sono stati inclusi in alcuni istituti speciali previsti dal D.L. n. 8/1991(“Norme per la protezione e il trattamento sanzionatorio di coloro che collaborano con la giustizia”).
Più precisamente si prevede, da un lato, che l’applicazione di speciali misure di protezione in favore di collaboratori di giustizia sia ammissibile anche per tali reati; dall’altro che la liberazione condizionale, la concessione dei permessi premio e l’ammissione alla misura della detenzione domiciliare siano disposte sentito il procuratore nazionale antimafia e antiterrorismo.
Inoltre, la Legge 90 modifica alcune disposizioni del D.L. 152/1991, estendendo anche ai reati informatici più gravi (per tali intendendosi quelli pocanzi indicati) la previsione per cui le intercettazioni sono disposte con decreto motivato se sussistono sufficienti indizi; vieppiù l’intercettazione tra presenti è consentita anche se non vi è motivo di ritenere che nei luoghi predetti si stia svolgendo l’attività criminosa.
Un altro rilevante intervento riguarda la disciplina delle speciali misure di protezione per i testimoni di giustizia, prevista dall’art. 11 della Legge n. 6 /2018. Per queste si prevede che, nei casi di reati informatici particolarmente gravi, la proposta di ammissione alle misure di protezione debba essere sottoposta al parere del Procuratore nazionale antimafia e antiterrorismo. Anche in questo caso, si evidenzia l’importanza attribuita alla dimensione cibernetica nell’ambito della sicurezza nazionale, con un rafforzamento delle misure di protezione per coloro che collaborano nelle indagini sui reati informatici.
Infine, l’art. 22 della Legge n. 90 del 2024 introduce importanti modifiche al decreto-legge 14 giugno 2021, n. 82, istitutivo dell’Agenzia per la Cybersicurezza Nazionale (ACN).
Tra le principali novità, il comma 4 dell’art. 17 è stato modificato prevedendo che il personale dell’Agenzia, impegnato presso il CSIRT Italia, assuma la qualifica di pubblico ufficiale nello svolgimento delle proprie funzioni. Inoltre, viene stabilito che la trasmissione delle notifiche di incidenti informatici al Ministero dell’Interno adempie agli obblighi di denuncia previsti dall’art. 331 c.p.p.
Si prevede inoltre che, in caso di reati informatici ai danni di sistemi di interesse pubblico, oppure quando siano coinvolti soggetti rilevanti previsti dal Perimetro di Sicurezza Cibernetica o dal Decreto NIS (al riguardo rinviamo al nostro precedente approfondimento), l’Agenzia per la Cybersicurezza Nazionale debba immediatamente informare il Procuratore nazionale antimafia e antiterrorismo. Contestualmente, l’Agenzia è tenuta a proseguire con le attività necessarie per mitigare il rischio informatico.
Allo stesso modo, il Pubblico Ministero quando ha notizia di reati informatici di particolare gravità (v. art. 371, comma 4-bis c.p.p.), deve tempestivamente informare l’Agenzia per la Cybersicurezza e coordinarsi con il Ministero dell’Interno. Inoltre, è attribuito al pubblico ministero il potere di posticipare alcune attività di resilienza informatica qualora esse possano interferire con lo svolgimento delle indagini penali.
Infine, si prevede che, qualora si svolgano accertamenti tecnici irripetibili in relazione a reati informatici gravi e di interesse pubblico, l’Agenzia debba essere informata tempestivamente e possa partecipare alle indagini tecniche. Questa disposizione si applica anche nel caso in cui si proceda mediante incidente probatorio, garantendo così un coordinamento tra le attività investigative e le esigenze di cybersicurezza.
Conclusioni
In conclusione, è importante chiarire che la Legge n. 90 del 2024 non equipara i reati informatici a quelli di stampo mafioso. Sebbene la riforma abbia introdotto un significativo irrigidimento della risposta sanzionatoria, soprattutto in relazione ai reati più gravi che riguardano la sicurezza di dati e sistemi di interesse pubblico, non vi è alcuna assimilazione normativa tra i crimini informatici e quelli mafiosi. L’estensione dei poteri investigativi, come l’inclusione di alcuni reati informatici tra quelli di competenza della Procura distrettuale o l’adozione di misure speciali per reati che colpiscono infrastrutture critiche, è volta a garantire una maggiore protezione per la cybersicurezza nazionale.
Tuttavia, tale inasprimento non implica una parificazione tra le due categorie di reato, e sarebbe un errore concettuale considerarle sullo stesso piano. La riforma si limita a rafforzare la risposta dell’ordinamento giuridico ai crescenti rischi del cyberspazio, senza creare sovrapposizioni con la normativa antimafia.
Per aggiornamenti seguici anche su: https://www.linkedin.com/company/dagostinolex
Studio legale Avv. Luca D’Agostino, specializzato in reati informatici, ransomware, frodi online e truffe tramite mail.
